Citrix ADC

JSON クロスサイトスクリプティング保護チェック

着信 JSON ペイロードに悪意のあるクロスサイトスクリプティングデータがある場合、WAF はリクエストをブロックします。次の手順では、CLI および GUI インターフェイスを使用してこれを設定する方法について説明します。

JSON クロスサイトスクリプティング保護の設定

JSON XSS 保護を設定するには、次の手順を完了する必要があります。

  1. アプリケーションのファイアウォールプロファイルを JSON として追加します。
  2. XSS 悪意のあるペイロードをブロックするための JSON XSS アクションの設定

タイプ JSON のアプリケーションファイアウォールプロファイルを追加します

まず、アプリケーションファイアウォールが JSON XSS 攻撃から JSON Web コンテンツを保護する方法を指定するプロファイルを作成する必要があります。

コマンドプロンプトで、次のように入力します。

add appfw profile <name> -type (HTML | XML | JSON)

プロファイルタイプを JSON に設定すると、HTML や XML などの他のチェックは適用されません。

add appfw profile profile1 –type JSON

JSON XSS 違反のサンプル出力

JSONXSSAction: block log stats
Payload: {"username":"<a href="jAvAsCrIpT:alert(1)">X</a>","password":"xyz"}

Log message: Aug 19 06:57:33 <local0.info> 10.106.102.21 08/19/2019:06:57:33 GMT  0-PPE-0 : default APPFW APPFW_JSON_XSS 58 0 :  10.102.1.98 12-PPE0 - profjson http://10.106.102.24/ Cross-site script check failed for object value(with violation="Bad URL: jAvAsCrIpT:alert(1)") starting at offset(12). <blocked>

Counters
   1  357000                  1 as_viol_json_xss
   3  0                       1 as_log_json_xss
   5  0                       1 as_viol_json_xss_profile appfw__(profjson)
   7  0                       1 as_log_json_xss_profile appfw__(profjson)

JSON クロスサイトスクリプティングアクションの設定

JSON クロスサイトスクリプティング攻撃からアプリケーションを保護するには、1 つ以上の JSON XSS アクションを設定する必要があります。 コマンドプロンプトで、次のように入力します。

set appfw profile <name> - JSONXSSAction [block] [log] [stats] [none]

set appfw profile profile1 –JSONXSSAction block

使用できるクロスサイトスクリプティングのアクションは次のとおりです。 Block-このセキュリティチェックに違反する接続をブロックします。 Log - このセキュリティチェックの違反を記録します。 Stats -このセキュリティー検査の統計を生成します。 None -このセキュリティー検査のすべてのアクションを無効にします。

: 1 つ以上のアクションを有効にするには、「appfw プロファイルの設定-JSONXSSAction」と入力し、次に有効にするアクションを入力します。

set appfw profile profile1 -JSONSQLInjectionAction block log stat

Citrix GUI を使用して JSON クロスサイトスクリプティング (XSS) 保護を構成する

次の手順に従って、クロスサイトスクリプティング (XSS) 保護設定を設定します。

  1. ナビゲーションペインで、[セキュリティ] > [プロファイル] に移動します。
  2. [プロファイル] ページで、[追加] をクリックします。
  3. Citrix Web App Firewall プロファイル]ページで、[詳細設定]の[セキュリティチェック]をクリックします。
  4. [セキュリティーチェック] セクションで、[JSON クロスサイトスクリプティング (XSS) 設定] に移動します。
  5. チェックボックスの近くにある実行可能アイコンをクリックします。

    JSON XSS セキュリティチェック

  6. [アクション設定] をクリックして、[JSON クロスサイトスクリプティング設定] ページにアクセスします。
  7. JSON XSS アクションを選択します。
  8. [OK] をクリックします。

    JSON XSS セキュリティチェック

  9. Citrix Web App Firewall プロファイル]ページで、[詳細設定]の下の[リラクゼーションルール]をクリックします。
  10. [リラクゼーションルール] セクションで、[JSON クロスサイトスクリプティング設定] を選択し、[編集] をクリックします。

    JSON XSS セキュリティチェック

  11. [JSON クロスサイトスクリプティング緩和規則] ページで、[追加] をクリックして、JSON クロスサイトスクリプティング緩和規則を追加します。
  12. 要求の送信先の URL を入力します。この URL に送信されたすべてのリクエストはブロックされません。
  13. [作成] をクリックします。

    JSON XSS セキュリティチェック

JSON クロスサイトスクリプティング保護チェック